【調査結果】

総務省、セキュリティー対策の状況調査結果を発表
~不正侵入検知や暗号化対策においては米国よりかなり低水準

■URL
http://www.soumu.go.jp/s-news/2002/020509_2.html
http://www.soumu.go.jp/s-news/2002/pdf/020509_2_1.pdf

 総務省は、情報セキュリティー対策の実施状況等について、アンケート調査の結果を発表した。

 調査は、東証一部・二部上場企業および、地方公共団体や病院、大学からそれぞれ300団体を無作為抽出したものを対象にアンケートを実施し、合計1,067団体からの回答を得た。内訳は、民間企業が541社(回収率26.2%)、地方公共団体172団体(回収率57.3%)などとなっている。調査結果はこれらの回答を、「侵害事案の発生実態」や「不正アクセス対策」、「今後の対策ニーズ」などの10項目に分類したものだ。

 調査結果によると、過去1年間に侵害事案が発生した企業が全体の60.3%を占め、その内の96.0%が「ウィルス・ワーム感染」によるものとなっている。2位の理由が「スパムメールの中継利用・踏み台」で15.6%となっているので、侵害被害の大部分がウィルスなどによるものだということが分かる。

 結果を相対的にみると、被害を受けやすいのは大学となっており、民間企業の60.3%よりも多い72.6%が被害を受けている。なお、大学では「踏み台」によるものが36.2%、「DoS攻撃」によるものが14.2%と、発生率が高くなっている。

 また、侵害事案が発生した企業の78.8%が、JPCERT/CCやIPAなどのセキュリティー関係機関・団体への届け出を行なっていない。その理由としては、「社内で対応できたので」が66.9%や、「大した被害ではなかったので」が47.5%などと、体面を気にして報告を行なっていないのが現状といえる。

 企業のウィルス対策では、「クライアント用のアンチウィルスソフト」を導入している企業が95.2%、「サーバー用のアンチウィルスソフト」の導入率が81.5%と高水準となっている。サーバー用のアンチウィルスソフトの導入率が高い要因として、「社員自らが実施するパターンファイルの更新」の実施率が42.7%と低水準なことから、企業がクライアント側での対処に限界を感じていることが分かる。また、病院では、ウィルス対策を全く行なっていないものが全体の15.6%と危険な状態といえる。

 不正アクセス対策では、ファイアウォール86.9%やルーター71.9%、PROXYサーバー61.7%と多くの企業が社内ネットワークへの接続に対して何らかの制御対策を実施している。これは、64.5%の企業がリモートアクセスやモバイルアクセスによる社内ネットワークへの接続を許可していることが理由として考えられる。また、許可する理由としては、「社内メールの確認」が54.3%や「社内業務データベースへのアクセス」が36.4%となっている。

 一方で、アクセス対策を実施していない理由に、「効果がわからないので必要性を感じない」が34.6%、「実施する知識・ノウハウがないので」が32.0%を占めており、不正アクセス対策に対する意識の低さを伺うことができる。

 また、暗号化対策においては、民間企業の33.1%が既に実施しており、37.7%が今後の導入を検討している。これらは、企業間等で企業戦略に関わるような重要な情報をネットワーク経由でやりとりする機会が増加していることが背景にあるといえる。また、地方公共団体においても、導入済みは11%と低水準ながら、今後導入する予定が48.8%と高く、民間企業と同様に暗号化導入に前向きな姿勢が伺える。

 企業のセキュリティー対策の基本方針ともいえるセキュリティーポリシーを策定している企業は28.5%と低い。しかし、現在策定中が20.5%、策定を検討中が39.6%と、60.1%の企業が導入を検討しているため、今後導入企業が増加することが分かる。また、策定時期をみると、3~5年以内に策定した企業が3.2%、1~3年以内が20.3%、1年以内が42.8%と、ここ3年で急激に策定企業が増加していることも分かる。

 今後の対策ニーズに関して、民間企業では、「データ・電子メールの暗号化」、「セキュリティーポリシー策定」、「社員教育」がそれぞれ41.8%と、需要が高くなっている。次いで、「不正侵入検知ツール」35.1%や「メール・Webフィルタリング」29.2%となった。これに対して地方公共団体や大学では、「セキュリティーポリシー策定」と「社員教育」が多く、関心の高さを示している。

 また、企業などが政府・地方公共団体への支援施策へのニーズでは、「侵害事案を取り締まる法制度の整備」が70.1%と圧倒的な数値を占めている。次いで、「セキュリティーサービス利用への助成」が36.4%、「機器・ソフトウェア購入への助成」が32.2%といったコスト面での支援に対する要望が高いことが分かる。

 最後に、日米のセキュリティー対策比較だが、民間企業では「ファイアウォール」や「アンチウィルスソフト」の実施率は約90%となっており、米国並みだが「不正侵入検知」や「暗号化」などでは、米国の約60%と比較して半分弱となっており、低水準であることが分かった。


民間企業における、侵害事案の内容
ウィルス対策の内容
セキュリティー関係機関・団体への届け出の有無など
社内ネットワークへの接続許可の有無


◎関連記事
IPA、3月の不正アクセスの届出状況を発表~過去3番目の届け出件数
IPA、2月の不正アクセスやウィルスの届出状況を発表~先月に比べ共に減少

(2002/5/9)

[Reported by otsu-j@impress.co.jp]

ほかの記事はこちらから
INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2002 impress corporation All rights reserved.